Das Deutsche Institut für Interne Revision (DIIR) hat mit dem DIIR Revisionsstandard Nr. 2 Grundsätze für die Prüfung des Risikomanagementsystems (RMS) durch die Interne Revision im November 2018 konkretisiert.
Notwendigkeit eines Risikomanagementsystems
Die zunehmende Komplexität von Geschäftsprozessen und der stetige Anstieg regulatorischer Vorschriften, Gesetze und branchenbezogener Vorgaben machen ein Risikomanagement in einem Unternehmen wichtiger denn je. Darüber hinaus ergibt sich die Notwendigkeit eines RMS aus den gesetzlichen Anforderungen und einer Beweislastumkehr (Business Judgement Rule) für die Geschäftsleitung.
Nach Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie § 91 Absatz 2 AktG sind Aktiengesellschaften zur Einrichtung eines Überwachungssystem verpflichtet, um den Fortbestand der Gesellschaft gefährdende Risiken frühzeitig zu erkennen. Sorgfaltspflichten zur Einführung eines Risikomanagements bei GmbH resultieren zudem aus § 43 Absatz 1 GmbHG. In diesem Zusammenhang greift für Vorstände oder Geschäftsführer nach § 93 Abs. 1 Satz 2 AktG die Beweislastumkehr.
Einordnung in das Three-Lines-of-Defense-Modell
Ein wirksames Risikomanagementsystem (RMS) wird nach dem Three-Lines-of-Defense-Modell in die zweite Verteidigungslinie eingeordnet. Es wird als elementarer Bestandteil aller Geschäftsprozesse jeder Organisation angesehen. Es umfasst dabei folgende Aufgaben:
- Risiken identifizieren.
- Risiken messen und bewerten.
- Risiken dokumentieren und berichten.
Ausgangspunkt eines RMS ist die Festlegung von Rahmenbedingungen durch die Geschäftsleitung, wie beispielsweise Risikoappetit, Risikostrategie, Verhaltensregeln und Kompetenzen. Das RMS ist regelmäßig weiterzuentwickeln und zu überwachen.
Angemessenheit und Wirksamkeit
Die Angemessenheit eines RMS steht bei einer Prüfung im Vordergrund. Über die Angemessenheit gibt der IDW PS 981 Tz. 60. einen Überblick. Nach dem Standard hat der Prüfer die Ergebnisse seiner Risikobeurteilung zu analysieren und bei weiteren Prüfungshandlungen zu berücksichtigen. Sofern im Rahmen der Prüfung des RMS wesentliche Fehler und Mängel feststellt, kann er zum Ergebnis gelangen, dass das dargestellte RMS als nicht angemessen ausgestaltet ist. In diesem Fall ist auch die Wirksamkeit folglich nicht gegeben.
Prüfung durch die Interne Revision
Die Interne Revision erbringt nach den nationalen und internationalen Standards des Deutschen Institut für Interne Revision e.V. (DIIR) und des Institutes of Internal Auditors (IIA) unabhängig und objektive Prüfungs- und Beratungsleistungen. Dies nimmt im Rahmen des Three-Lines-of-Defense-Modell die dritte Verteidigungslinie ein und hat in Ihrer Funktion die zweite Verteidigungslinie, wie beispielsweise das RMS, in ihre Prüfungstätigen einzubeziehen.
auditsolutions bietet im Rahmen ihres Leistungsspektrums die Prüfung der Angemessenheit und Wirksamkeit Ihres Risikomanagementsystems (RMS) an.